[转帖]通过iptables与iproute2协同实现根据应用的策略路由

matrixer

(简洁明了版本 前提 了解多路由表的概念 了解策略路由的概念 熟悉iptables和iproute2工具包)

假设，网络中有两个外部接口，IP地址分别为eth0 172.16.1.1/24,eth1 10.0.0.1/24,连接内部网络的接口为eth2 192.168.1.1。现在设计这样一个策略，将所有来自内部网络的web服务的数据，走向172.16.1.1这个出口。其他的数据走向10.0.0.1 这个出口。
9 b' P. Q2 ?9 J: s8 x' v
#接口设置
  R0 p5 }" Q8 m, ]/ ~% T2 j4 hifconfig eth0 172.16.1.1 netmask 255.255.255.0
9 S  }) ^/ u& _2 pifconfig eth1 10.0.0.1 netmask 255.255.255.0
ifconfig eth2 192.168.1.1 netmask 255.255.255.0
- S9 H3 V# y/ ]+ c+ ?echo 1 >/proc/sys/net/ipv4/ip_forward

#将web服务类的数据包打上标示100
4 j  Y* S1 ^3 R: `5 n#这一步，很关键，用于实现策略路由的是iproute2工具包，但是iproute2工具包是无法根据端口来进行匹配的，因此，需要借助iptables来配合
, K3 t1 F3 ~1 m: `+ Y+ Diptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 100
: a# d4 a, v0 t3 Y  A
3 I: o* e, C% k7 i#增加多路由表 假设172.16.1.1 这一出口的网关是172.16.1.254
% L8 `/ I  V5 Z4 l* Q5 Xip route add 0/0 via 172.16.1.254 table 100

& {/ s: V% l" M) O. z1 y8 a#设置路由策略 凡是数据包标记位上是100的数据，查询100号路由表
; K7 w6 ]0 u! l8 Q, v, Nip rule add fwmark 100 table 100
( ~# v+ ^. x$ i* ?' U% s
- S1 c! @8 w3 m! F% l: s#NAT 如果需要的话，进行NAT 不需要的话，就直接路由
* w8 {: R6 W$ U* |4 B# q3 G, niptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
: r( [* x* P( Y+ D3 Q

这篇帖子主要是说明了把iptables和iproute2协同以后可以做出很多很强的应用。你可以利用iptables强劲的对数据报的识别能力来将不同类型的数据包打上你自己定义的标示，然后利用iproute2的策略路由的功能来对路由进行人为的干预。